Сообщения об утечках часто мелькают в новостях в последние годы. Среди антирекордов можно вспомнить обнародование данных из базы Сбербанка и ОФД "Дримкас" в 2019 году и онлайн-кинотеатра "Старт" в 2021 году. Периодически появляются сообщения об утечках данных российских пользователей социальных сетей с сервисных платформ.
И полбеды, если характер утерянных данных совпадает с данными, которые оставляют о себе сами пользователи. Но ведь степень чувствительности данных зачастую высока - в публичное поле попадают пароли, результаты медицинских анализов, информация о платежах, займах, остатках на счетах.
Минцифры России подготовило законопроект об оборотных штрафах за утечку персональных данных. Сейчас для организаций по большому счету отсутствуют стимулы к предотвращению утечек - за исключением угрозы хакерской атаки, организуемой, в числе прочего, ради получения выкупа. Но в результате обнародования информации об утечке персональных данных всегда возникает репутационный риск. Поэтому случаи, когда организация сама сообщает о таком происшествии, - редкость. Обычно компании комментируют сообщения из других источников, стремясь предотвратить панику и сохранить лояльность клиентов. Часты случаи, когда они узнают об утечке данных много позже самого инцидента, когда похищенные данные уже размещены в открытом доступе или анонсированы к продаже.
Общественный резонанс инициатива Минцифры получила еще в феврале 2022 года после тематического круглого стола в Совете Федерации. Однако эксперты и представители бизнес-среды дали инициативе неоднозначную оценку. С одной стороны, очевидно, что действующая правовая норма статьи 13.11 КоАП РФ, предусматривающей штраф за утечку данных, морально устарела. И оборотный характер штрафа - закономерное решение, соответствующее к тому же мировой практике. С другой стороны, ключевое значение имеют параметры, которые станут основанием для взыскания оборотного штрафа. А они менялись на всем протяжении коллаборативной работы Роскомнадзора и Минцифры над текстом законопроекта.
Перспектива уплаты оборотного штрафа будет стимулировать бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей. Так считают в Министерстве цифрового развития. Сложно с этим не согласиться, если принимать во внимание, что инициатива создана не ради установления меры наказания, а ради повышения уровня защищенности персональных данных. Эффективность принятого закона всецело будет определяться механизмом доказывания факта и размера утечки, а также установления вины организации. Конструктивный механизм действительно будет способствовать росту инвестиций в системы информационной безопасности. Важно, чтобы процесс доказывания достаточности и своевременности действий организации по защите персональных данных был упорядочен и не являлся предметом торга.
Важным параметром является объем подвергшихся утечке данных, хотя в текущем релизе Минцифры, посвященном законопроекту, фокус внимания перемещен на число субъектов, чьи персональные данные утеряны. Не менее важна степень чувствительности данных. Утечка сведений, которые сам пользователь свободно распространяет, все же разумно квалифицировать как технический вызов системе информационной безопасности и повод ее усовершенствовать, а не как основание для взыскания оборотного штрафа.
Дальнейшая работа над инициативой закономерно будет иметь ряд последствий. Организации, которые смогут отказаться от использования персональных данных или ограничиться наборами открытых данных, преимущественно выберут этот путь.
Еще одно потенциально популярное решение - перестраховать свои риски путем передачи на аутсорсинг вопросов обеспечения безопасности персональных данных специализированным организациям. Безусловно, возрастет потребность во внедрении или расширении пакетов DLP-систем в информационной архитектуре организаций - собственно флагмане среди инструментов предотвращения утечки данных, в том числе персональных. Технически организация может внедрить DLP-систему, может тотально отслеживать обращения сотрудников к персональным данным, может фрагментировать пакеты данных, может запретить, ограничить или создать барьеры для копирования и выгрузки данных, может еще много чего сделать. Но контроль и защита периметра не помогут при инсайдерской атаке, а потому учет человеческого фактора также следует рассматривать в числе параметров при определении степени вины организации в утечке персональных данных.
Принятие закона приведет к ужесточению мер внутренней безопасности при работе с данными для предотвращения инцидентов социального инжиниринга и усилению мер дисциплинарной и материальной ответственности сотрудников, действия которых повлекли утечку персональных данных.